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Beschreibung 

Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System 

Fur komplexe technische Systeme oder Anlagen ist es von enor- 
itier Bedeutung, Aussagen uber die Zuverlassigkeit des jeweili- 
gen Systems bzw. der Anlage treffen zu konnen. 

Es ist bekannt, dali Aussagen uber die Zuverlassigkeit eines 
beliebigen technischen Systems bzw. einer Anlage manuell, 
beispielsweise durch eine sog. Fehlerbaumanalyse (vgl. [1]), 
oder simulativ bzw. analytisch auf Basis von speziell zu die- 
sem Zweck erstellten Modellen (vgl. [2]) erzeugt werden kon- 
nen. Zur einfacheren Darstellung wird im weiteren nur noch 
von technischen Systemen gesprochen. Technische Anlagen sind 
im Rahmen dieses Dokuments jedoch in dem Begriff des techni- 
schen Systems umfafit. Eine vollstandige manuelle Ermittlung 
der Auswirkungen eines technischen Fehlverhaltens von Senso- 
ren und/oder Aktoren, ist in einem komplexen technischen Sy- 
stem aufgrund der vernetzten Abhangigkeiten und der unter- 
schiedlichen Realisierungsf ormen der Steuerung, des gesteuer- 
ten Systems und der Sensorik und/oder Aktorik praktisch nicht 
moglich. Die in [2] beschriebenen analytischen Techniken er- 
fordern die Erstellung eines speziellen Modells, fur das im 
allgemeinen nicht garantiert werden kann, daii es das jeweils 
betrachtete System korrekt beschreibt. Dadurch wird natiirlich 
die Qualitat der Aussagen erheblich reduziert. Ferner ist ein 
erheblicher Nachteil der in [2] beschriebenen Ansatze, dafi 
die Modellerstellung zusatzlichen Entwicklungsaufwand und 
Zeit erfordert. Dadurch wird eine kurzfristige Untersuchung 
alternativer Realisierungen eines technischen Systems, was 
auch als Rapid Prototyping bezeichnet wird, verhindert. 

Es ist bekannt, ein technisches System in einer zustandsend- 
lichen Beschreibung, z.B. als Automat, zu beschreiben. Eine 
zustandsendliche Beschreibung weist liblicherweise Zustande 
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auf , in denen Aktionen durchgefiihrt werden, wenn sich das 
technische System in dem jeweiligen Zustand befindet. Ferner 
weist die zustandsendliche Beschreibung ublicherweise Zu- 
standsubergange auf, die mogliche Wechsel des technischen Sy- 
5 stems zwischen Zustanden beschreiben. Auch bei Zustandsiiber- 
gSngen kann das technische System Aktionen durchfiihren. In 
einem. gesteuerten technischen System ist es in diesem Zusam- 
menhang bekannt, die zustandsendliche Beschreibung derart 
auszugestalten, daB das Verhalten der Steuerung des techni- 
10 schen Systems und das Verhalten der gesteuerten Anlage als 

Zustandsautomat dargestellt wird. Auch ist bei diesen Ansat- 
zen nicht sichergestellt, dafi alle moglichen Fehlerauswirkun- 
gen auf das System korrekt ermittelt werden. 

15 Moglichkeiten zur textuellen Beschreibung eines Zustandsauto- 
maten, die mit einem Rechner verarbeitet wird, sind z.B. In- 
terlocking Specification Language (ISL) oder Control Specifi- 
cation Language (CSL) , die in [3] beschrieben sind. 

20 Es ist ferner bekannt, eine zustandsendliche Beschreibung fur 
die Generierung von Steuerungen durch einen Rechner und fur 
den rechnergestiitzten Nachweis von Eigenschaf ten eines feh- 
lerfreien technischen Systems zu verwenden. 

25 Eine Moglichkeit zum rechnergestiitzten Nachweis von Eigen- 

schaften eines fehlerfreien technischen Systems verwendet das 
Prinzip des sog. Model Checkings, das in [4] beschrieben ist. 

Ferner ist es bekannt zur zustandsendlichen Beschreibung ei- 
30 nes Systems ein sogenanntes Finite State Machine-Format (FSM- 
Format) zu verwenden, deren Grundlagen in [5] beschrieben 
sind. Binary Decision Diagrams (BDD) besitzen den Vorteil, in 
vielen Fallen auch sehr umf angreiche Zustandssysteme kompakt 
zu reprasentieren. 

35 

Somit liegt der Erfindung das Problem zugrunde, ein Verfahren 
zur rechnergestiitzten Fehleranalyse von Sensoren und/oder Ak- 
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toren in einem technischen System anzugeben, mit dem die Kor- 
rektheit der Fehleranalyse gewahrleistet wird. 

Das Problem wird durch das Verfahren mit den Merkmalen des 
Patentanspruchs 1 gelost. 

Das Verfahren wird mit einem Rechner durchgefuhrt und umfaJJt 
f olgende Schritte : 

a) fur einen Fehler eines Sensors und/oder eines Aktors des 
Systems wird eine zustandsendliche Beschreibung des techni- 
schen Systems fur den Fehlerfall ermittelt, 

b) fur das technische System wird eine erste Menge erreichba- 
rer Zustande ermittelt, 

c) fur das f ehlerbehaf tete technische System wird eine zweite 
Menge erreichbarer Zustande ermittelt, 

d) es wird eine Dif f erenzmenge aus der ersten Menge und der 
zweiten Menge gebildet, 

e) es werden Ergebniszustande aus der Dif f erenzmenge ermit- 
telt, die vorgebbaren Bedingungen geniigen. 

Anschaulich kann die Erfindung dadurch beschrieben werden, 
daft ein Model Checking sowohl fur das fehlerfreie technische 
System als auch ein mit einem Fehler eines Sensors und/oder 
Aktors behafteten System durchgefuhrt wird. Durch das Model 
Checking werden alle erreichbaren Zustande des fehlerfreien 
bzw. des f ehlerbehaf teten Systems ermittelt. Aus diesen Zu- 
standen wird eine Dif f erenzmenge von Zustanden gebildet. Fur 
die Dif f erenzmenge werden die Zustande der Dif f erenzmenge er- 
mittelt, die einer vorgebbaren Bedingung geniigen, z.B. einer 
Sicherheitsanforderung an das System. Diese Zustande stellen 
fur den jeweils untersuchten Fehlerfall einen „gef ahrlichen u 
Zustand bzgl. der vorgebbaren Bedingung dar. 

Durch das Verfahren wird gewahrleistet, dafi alle fur den je- 
weils untersuchten Fehlerfall, d.h. ftir den fehlerhaften Sen- 
sor und/oder Aktor, hinsichtlich vorgebbarer Bedingungen 
„gef ahrliche" Zustande ermittelt werden. 
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Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhangigen Anspriichen. 

5 Es ist vorteilhaft, das Verfahren fur alle moglichen Fehler 
von Sensoren und/oder Aktoren, die das technische System auf- 
weist, durchzufiihren. Auf diese Weise wird fur das gesamte 
System gewahrleistet, dafl hinsichtlich vorgebbarer Bedingun- 
gen alle „gef ahrlichen" Zustande ermittelt werden. 

10 

Ferner ist es vorteilhaft, den Sensoren und/oder Aktoren Aus- 
f allwahrscheinlichkeiten zuzuordnen und die Fehleranalyse un 
ter Berucksichtigung der Ausf allwahrscheinlichkeiten durchzu- 
fiihren. Auf diese Weise wird es ohne grofieren Rechenaufwand 
15 bei der Durchfiihrung des Verfahrens mit einem Rechner mog- 
lich, fur die eritlittelten Zustande anzugeben, mit welcher 
Wahrscheinlichkeit dieser Zustand tatsachlich erreicht wird, 
womit eine Risikoabschatzung flir das jeweils analysierte Sy- 
stem sehr einfach und anschaulich moglich wird. 

20 

Weiterhin ist es zur weiteren Rechenzeiteinsparung bei der 
Durchfiihrung des Verfahrens mit einem Rechner vorteilhaft, 
die zustandsendliche Beschreibung durch einen endlichen Auto- 
maten in Form eines Binary Decision Diagrams (BDD) zu reali- 
25 sieren. 

Das Verfahren kann durch die oben Beschriebenen Eigenschaf ten 
sehr vorteilhaft in folgenden Gebieten Verwendung finden: 

- beim Rapid Prototyping des technischen Systems. 

30 - im Rahmen der Fehlerdiagnose des technischen Systems. 

- zur Generierung kritischer Pruffalle fur eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

- zur praventiven Wartung des technischen Systems. 

35 In den Figuren ist ein Ausfuhrungsbeispiel der Erfindung dar- 
gestellt, welches im weiteren naher erlautert wird. 
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15 



20 




Es zeigen 

Figur 1 ein skizzenhafte Darstellung des Verfahrens; 

Figur 2 eine Skizze einer zustandsendlichen Beschreibung 
einer Steuerung und des durch die Steuerung 
gesteuerten Prozesses eines technischen Systems, 
wobei die fehlerfreie Steuerung und der Prozeii 
jeweils als ein eigener Zustandsautomat beschrieben 
sind; 

Figur 3 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit einem symbolisch dargestellten allge- 
meinen Sensorf ehlermodell und Aktorf ehlermodell ; 
Figur 4 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit einem symbolisch dargestellten nicht- 
persistenten Fehler eines Sensors; 
Figur 5 eine Skizze der zustandsendlichen Beschreibung aus 

Figur 1 mit dem Fehler aus Figur 4, wobei als Er- 
satz 

des Fehlermodells die Steuerung modifiziert wurde; 
Figur 6 eine Skizze einer Draufsicht des Ausf uhrungsbei- 

spiels, einem Hubdrehtisch einer Fertigungszelle; 
Figur 7 eine Skizze, in der die vorgesehene Bewegung des 

Hubdrehtischs aus Figur 6 dargestellt ist; 
Figur 8 eine Skizze des Zustandsraums des fehlerfreien 

Hubdrehtischs; 

Figur 9 eine Skizze des Zustandsraums eines f ehlerbehaf te- 
ten Hubdrehtisch; 



Eine geeignete zustandsendliche Beschreibung stellt das Ver- 
halten der Steuerung und das Verhalten der gesteuerten Anlage 
30 als Zustandsautomat dar. Die Darstellung kann auf unter- 

schiedliche Weise, z.B. in textueller Form unter Verwendung 
von ISL oder CSL, erfolgen. 



In Figur 2 ist ein einfaches technisches System mit einer 
35 fehlerfreien Steuerung FS, Zustanden yl, y2, y3 und Zu- 

standsubergangen xl, x2 als Zustandsautomat dargestellt. Die 
Steuerung S beschreibt als Zustande Aktoren. Ein gesteuerter 
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Prozefi P enthalt die Beschreibung von Sensoren xl, x2, x3 als 
Zustande xl, x2, x3 und Zustandsubergange yl, y2, y3 . 

Die Steuerung S des Systems reagiert auf Mefiwerte xj (xl, x2, 
5 x3) von Sensoren X.Somit werden durch Sensordaten daher in 
der Steuerung S Zustandsubergange ausgelost. Die Zustande 
sind durch Werte yi (yl, y2, y3) von Zustandsvariablen Y cha- 
rakterisiert, die Aktoren zugeordnet sind. Das Stellen von 
Aktoren Y lost wiederum Zustandsubergange in der gesteuerten 
10 Anlage, d.h. in dem Prozefi P aus, was sich in einer Modifika- 
tion der Werte der Sensoren X aufiert. 

Die Zustandsautomaten der Steuerung S und des Prozesses P 
ftihren alternierend Zustandsubergange durch. Die Ausgaben des 
15 einen Automaten sind die Eingaben des jeweils anderen Automa- 
ten . 

Die Schnittstelle zwischen Steuerung und gesteuerter Umgebung 
kann in einer entsprechenden Beschreibung automatisch erkannt 
20 werden. Ferner ist es moglich, wie im weiterem detailliert 

beschrieben wird, einer derartigen Beschreibung den Wertevor- 
rat zu entnehmen, den die einzelnen Werte (Zustande bzw. Zu- 
standsubergange) annehmen konnen. ... - 

25 In Figur 3 ist symbolisch eine Fehlermodellierung fur fehler- 
hafte Sensoren in einem Sensorf ehlermodell SF und fur fehler- 
hafte Aktoren in einem Aktorf ehlermodell AF dargestellt. 

Technisch sind also an der Schnittstelle zwischen Steuerung S 
30 und gesteuertem Prozefi P Sensoren X und Aktoren Y angeschlos- 
sen. Ein Fehlverhalten eines Sensors X fuhrt dazu, dafi an- 
stelle des korrekten Mefiwerts xj ein anderer, fehlerhafter 
Wert xj an die Steuerung S geliefert wird, d.h. der Steue- 
rung S zugefuhrt wird. Ein Fehlverhalten eines Aktors aufiert 
35 sich im Einstellen eines falschen Werts y^ anstelle des 

Werts yi . Welche Sensoren X und Aktoren Y vorhanden sind und 
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welcher Wertevorrat hier zu beriicksichtigen ist, kann der zu- 
standsencilichen Beschreibung entnommen werden. 

Dies gestattet die automatisierte, systematische Analyse der 
Auswirkungen von Sensor- und Aktorfehlern auf das Verhalten 
eines gesteuerten Systems. Zwischen den gesteuerten Prozefi P 
und die Steuerung S werden Sensorf ehlermodelle SF bzw. Aktor- 
f ehlermodelle AF geschaltet, die den jeweiligen Fehler des 
Sensors x und/oder Aktors y beschreiben. In der Figur 3 sind 
beispielhaft Modelle fur intermittierende (nicht persistente) 
Einzelfehler der Sensorik und Aktorik angegeben. 

Ein nichtpersistenter Einzelfehler eines Sensors x wird be- 
schrieben durch folgende Vorschrift: 

xj = xJ j * n (fehlerfreie Werte) 



(fehlerhafter Wert) . 

Ein nichtpersistenter Einzelfehler eines Aktors y wird be- 
schrieben durch folgende Vorschrift: 



(fehlerfreie Werte) 



(fehlerhafter Wert) . 



Figur 4 zeigt das allgemeine Sensor fehlermodell SF aus Figur 
3 fur den Fall, daft ein nichtpersistenter Einzelfehler bei 
einem ersten Sensorwert xl vorliegt derart, dafi der erste 
Sensorwert xl entweder den korrekten ersten Sensorwert xl 
oder aufgrund eines Sensorf ehlers einen zweiten Sensorwert x2 
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aufweist, der in diesem Fall ein fehlerhafter Wert ware. Der 
zweite Sensorwert x2 und ein dritter Sensorwert x3 werden 
korrekt gemessen. 

5 Eine wichtige Frage, die es zu beantworten gilt, ist nun, ob 
die Kombination aus Steuerung S und gesteuerten Prozeii P auf- 
grund des Sensorf ehlers in kritische Zustande gelangen kann, 
die im fehlerfreien Fall sicher ausgeschlossen werden konn- 
ten . 

10 

Eine Moglichkeit, diesen Nachweis fur den fehlerfreien Fall 
zu erbringen, bietet das sogenannte Model Checking, welches 
in [4] beschrieben ist. Dieses Verfahren gestattet es, die 
Menge der erreichbaren Zustande zu ermitteln und zu untersu- 
15 chen, ob Zustande enthalten sind, die z.B. Sicherheitsbedin- 
gungen verletzen. 

Urn diese Technik zur Fehleranalyse von in dem System enthal- 
tenen Sensoren X und/oder Aktoren Y anwenden zu konnen, wer- 
20 den hier die Sensorf ehlermodelle SF bzw. Aktorf ehlermodelle 
AF durch eine geanderte Steuerungslogik beschrieben 
(vgl . . Figur 5) . 

Die in Figur 5 dargestellte Kombination aus Steuerung S und 
25 gesteuertem Prozefi P verhalt sich identisch zu dem in Figur 4 
dargestellten Modell fur den Fehlerfall bei dem ersten Sen- 
sorwert xl. Es kann hier jedoch auf den Einschub eines expli- 
ziten Pehlermodells zwischen Steuerung S und gesteuertem Pro- 
zefl P verzichtet werden. Aufgrund des angenommenen intermit- 
30 tierenden Fehlers werden in der Steuerung mit xl indizierte 
Zustandsubergange parallel zu den mit x2 markierten Zu- 
standsiibergangen hinzugefiigt. 

Damit wird der folgende Sachverhalt beschrieben: 
35 Der zweite Sensorwert x2 und der dritte Sensorwert x3 werden 
korrekt gemessen. Daher ist das Steuerungsverhalten fur diese 
Werte unmodif iziert . Da ein intermittierender Fehler angenom- 
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men wird, kann auch der erste Sensorwert xl korrekt gemeldet 
werden, so dali diese Zustandsiibergange erhalten bleiben. 
Wiirde eine persistente Vertauschung von dem ersten Sensorwert 
xl mit dem zweiten Sensorwert x2 angenommen, so muBten mit xl 
beschriftete Kanten geloscht werden. Alle Zustandsiibergange 
die mit x2 markiert sind, konnen nun auch beim Wert xl durch- 
laufen werden. Daher wird eine entsprechende Kante in der 
Steuerung S erganzt. Die Steuerung S reagiert auf den Wert 
x2, aber an der Stelle xl des Prozesses. 

Diese Modifikation der Steuerungslogik zur Beschreibung von 
Fehlern kann formal fur alle betrachtbaren Fehler automatisch 
durch den Rechner durchgefiihrt werden. 

Fur die entstehenden Modelle konnen die Fragen nach der Er- 
reichbarkeit von kritischen Zustanden (z.B. Sicherheit, Ver- 
klemmungen) ebenfalls durch Anwendung des Model Checkings be- 
an twortet werden. Es erfolgt also eine automatische Ermitt- 
lung der im f ehlerbehaf teten System erreichbaren Zustande 
vorzugsweise unter Verwendung des Model Checkings. 

Anschlieliend wird jeweils eine Dif f erenzmenge der im jeweili- 
gen Fehlerfall erreichbaren Zustande und der im fehlerfreien 
Fall erreichbaren Zustande ermittelt. 

Aus der Dif f erenzmenge werden jene Zustande ermittelt, die 
mindestens einer vom Benutzer vorgebbaren Bedingung (z.B. 
Verletzung einer Sicherheitsanf orderung) genugen bzw. diese 
verletzen, je nach Anwendung. 

In Figur 1 ist diese Vorgehensweise noch einmal in einem 
Blockschaltbild symbolisch dargestellt. FUr die Steuerung FS 
und den gesteuerten Prozefi P wird mindestens ein Sensorfeh- 
lermodell SF und/oder mindestens ein Aktorf ehlermodell AF er- 
stellt, unter deren Beriicksichtigung eine formale Analyse der 
zustandsendlichen Beschreibung fUr das f ehlerbehaf tete System 
vorzugsweise durch Model Checking erfolgt. 
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Fur das Ergebnis des Vergleichs mit dem fehlerfreien System 
und der Ermittlung „gef ahrlicher" Zustande werden die Ursa- 
che-Wirkungs-Zusammenhange zwischen Sensor- bzw. Aktorfehlern 
5 und dem moglichen Eintritt der betrachteten Wirkung ermittelt 
und vorzugsweise in einem Ursache-Wirkungs-Graph dargestellt. 

In Figur 6 ist ein technisches System in Form eines Hubdreh- 
tischs HD einer Fertigungszelle FZ dargestellt, mit dem das 
10 Verfahren noch detaillierter dargestellt werden soil. 

Die Fertigungszelle FZ weist ein zufuhrendes Forderband FB, 
an dessen Ende ein Hubdrehtisch Werkstucke WS aufnimmt und 
einem Roboter R zufuhrt. Der Roboter R legt das Werkstiick WS 
15 in eine Presse PR und gibt es nach dem Formen auf ein wegfuh- 
rendes Band WB. Die Fertigungszelle FZ enthalt entsprechende 
Sensoren X und Aktoren Y. 

Der Hubdrehtisch HD kann sich mit Hilfe zweier Antriebe 
20 (hicht dargestellt) in vertikaler (vmov) und horizontaler 
(hmov) Richtung bewegen. Jeder Antrieb kann in negative 
(minus) oder positive (plus) Richtung ahgesteuert werden oder 

stil-l-stehen (stop) . • - - - - - -• 

25 Der Hubdrehtisch HD verfugt uber Sensoren X zur vertikalen 
(vpos) und horizontalen (hpos) Positionserf assung, die die 
Positionen xO (unten) , xl (mitte) und x2 (oben) unterscheiden 
konnen. Zusatzlich erfafit ein weiterer Sensor (part_on_table) 
(nicht dargestellt) das Vorhandensein eines Werkstucks WS auf 

3 0 dem Hubdrehtisch HD. 

Die Ausgangsposition AP des Hubdrehtischs HD ist am unteren, 
linken Anschlag (x0,x0) ohne Werkstiick WS (vgl. Figur 7). 
Falls ein Werkstiick WS vom zufiihrenden Forderband FB auf den 
35 Hubdrehtisch HD fallt, so ist die Zielposition ZP des Hub- 
drehtischs HD oben rechts (x2, x2) . 
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Der Hubdrehtisch HD darf niemals eine andere horizontale Po- 
sition als xO (linker Anschlag) in Kombination mit der verti- 
kalen Position xO (unten) einnehmen, da er sonst mit dem zu- 
fiihrenden Forderband FB kollidieren wurde (verbotener Bereich 
VB) . 

Im weiteren ist eine Beschreibung des Zustandsautomaten der 
Steuerung FS des Hubdrehtischs HD in CSL angegeben: 



CSLxtClasses table 
Types 

bool 

posType 

movType 



[nein, ja] ; 
[xO; xl, x2]; 
[stop, plus, minus] 



Class pcd 



StateVariables 

input vpos 
input hpos 
input par t_on__t able 
output vmov: movType default stop; 
output hmov: movType default stop; 



posType default xO; 
posType default xO; 
bool default nein; 



Transitions 

start_up := (part_on_table = ja /\ vpos = xO) 

==> (** vmov = plus) ; 

rotate := (part_on_table = ja A vpos = xl A hpos < x2) 

==> (** hmov = plus) ; 

stophigh := (part_on_table = ja A vpos = x2) 

-=> (** vmov = stop) ; 

stop45 := (part_on_table = ja A hpos = x2) 

==> (** hmov = stop) ; 

rotate_back := (part_on_table = nein A vpos = x2 /\ 

A hpos = x2 ) ==> (** hmov = minus); 

start_down := (part__on_table = nein A hpos = xO /\ 

/\ vpos = x2 ) ==> (** hmov = stop A 
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A ** vmov = minus); 
stoplow : = (part_on_table = nein /\ vpos = xO) 
==> (** vmov = stop) ; 

End /* Class pcd_controll*/ 
End table 
CSLInstances i 

table : pcd; 

End i 

Die oben angegebene Beschreibung in CSL legt die Steuerungs- 
logik des Hubdrehtischs HD fest. Der Kopf der CSL- 
Besehreibung vereinbart Datentypen (Wertebereiche ) der Zu- 
standsvariablen. Die anschliefiende Deklaration der Zustands- 
variablen nutzt diese Typvereinbarungen und legt zusatzlich 
Anfangswerte fest. Anhand der Vereinbarung von Zustandsvaria- 
blen als Input oder Output kann festgestellt werden, ob es 
sich urn eine Zustandsvariable handelt, die den Prozefizustand 
darstellt oder ob sie Zustande der Steuerung FS kodiert. In- 
putvariablen der Steuerung FS kodieren ProzeJizustande. Out- 
putvariablen der Steuerung FS kodieren Steuerungszustande. 
Die Zeile „input vpos: posType default xO" deklariert eine 
Zustandsvariable mit Namen „vpos w , die die Werte xO, xl und 
x2 (die Werte des Typs posType) annehmen kann und deren An- 
fangswert xO ist. 

Die Transitionen (Transitions) dienen zur Beschreibung der 
Steuerungslogik. Transitionen werden ausgelost durch Werte- 
kombinationen der Inputvariablen der Steuerung FS, die Pro- 
zefizustande darstellen - also die Position des Hubdrehtischs 
HD in der vertikalen (vpos) und der horizontalen (hpos) Bewe- 
gungsrichtung und das Vorhandensein eines Werkstiicks WS auf 
dem Hubdrehtisch HD (part_on_table) . Die Werte der Outputva- 
riablen vmov und hmov werden durch die Transitionen, die die 
Steuerungslogik implementieren, modif iziert . Sie beschreiben 
die Zustande der Steuerung. Ihre Werte werden allein durch 
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Zustandsubergange der Steuerung, also durch die der Steuerung 
eingepragte Logik modif iziert . 

Diese Inf orraationen konnen aus der CSL-Beschreibung automa- 
tisch entnommen werden. Es kann zwischen Eingaben der Steue- 
rung (Inputs, Sensordaten) und Ausgaben der Steuerung 
(Outputs: Aktorkommandos) unterschieden werden. AuiJerdem sind 
die jeweils moglichen Werte erkennbar (Typdeklarationen) . 

Die Informationen bleiben im wesentlichen auch nach der Uber- 
setzung der CSL-Beschreibung in das sogenannte Finite State 
Machine-Format (FSM- Format) erhalten. Dieses FSM- Format re- 
prasentiert die zustandsendliche Beschreibung in Form soge- 
nannter Binary Decision Diagrams (BDD) , die den Vorteil be- 
sitzen, in vielen Fallen auch sehr umfangreiche Zustandssy- 
steme kompakt zu reprasentieren . Eine Obersicht uber Binary 
Decision Diagrams (BDD) ist in [5] beschrieben. 

Ein Prozefimodell zur Beschreibung der Reaktionen des gesteu- 
erten Prozesses ist erganzend zur in CSL beschriebenen Steue- 
rungslogik erf orderlich, um z.B. Aussagen uber die Menge der 
erreichbaren Zustande zu ermoglichen. Dies kann im Rahmen des 
Model Checkings mit Hilfe sogenannter Assumptions, erfolgen. 
Da das Model Checking auch im Rahmen der formalen Verifikati- 
on der fehlerfreien Steuerung ublicherweise verwendet wird, 
sind diese Assumptions ublicherweise bereits vorhanden und 
konnen im Rahmen dieser Analyse erneut verwendet werden. 

Mit den Assumptions wird beschrieben, wie sich die Positionen 
des Hubdrehtischs HD und das Vorhandensein eines Werkstucks 
WS in Abhangigkeit der Bewegungsrichtung und der aktuellen 
Position verandern konnen. Die unten dargestellte Assumption 
( 1 table. vmov 1 = stop A 1 table. vpos' = xO) A 

x( 'table. vpos' = xO) stellt dar, dafi, falls die vertikale Be- 
wegung gestoppt ist und die aktuelle vertikale Position unten 
(xO) ist, auch im nachsten Zustand die vertikale Position xO 
ist. Dieser Assumption liegt der Sachverhalt zugrunde, daft 
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sich Positionen nicht andern, falls keine Bewegung stattfin- 
det . 

Im weiteren sind mogliche Assumptions, d.h. Bedingungen fur 
5 die oben beschriebene Steuerung FS beschrieben: 

process:=g ((( ' table . vmov' = stop A 'table. vpos f = xO) /\ 
/\ x (' table. vpos ' = xO) \/ (' table . vmov' = stop /\ 
A 'table. vpos 1 = xl) /\ x ( 1 table . vpos T = xl) 
10 \/ ( 'table. vmov' = stop /\ 'table. vpos' = x2) /\ 

/\ x (' table .vpos ' = x2) 

\/ ( 1 table .vmov' = plus A 'table. vpos' = xO) /\ 
A x ( 'table. vpos f = xO \/ 'table. vpos' = xl) \/ 
\/ (' table .vmov' = plus /\ 'table. vpos' = xl) A 

15 A x ( 1 table. vpos ' = xl \/ 'table. vpos' = x2) \/ 

\/ ( 'table. vmov' = plus A 'table. vpos' = x2) A 
A x( 'table. vpos' = x2) \/ (' table . vmov 1 = minus A 
A 'table. vpos' = xO) A x (' table . vpos ' = xO) \/ 
\/ (' table .vmov' = minus /\ 'table. vpos' = xl) /\ 

20 A x( 'table. vpos' = xO \/ 'table. vpos' = xl) \/ 

\/ (' table .vmov' = minus A 'table. vpos' = x2) /\ 
/\ x (' table .vpos ' = xl \/ 'table. vpos' = x2)) /\ 
/\ -(-( 'table, hmov' = stop A 'table, hpos' = xO) /\ 
/\ x (' table. hpos ' = xO) \/ (' table . hmov' = stop A 

25 A 'table. hpos' = xl) A x (' table . hpos ' = xl) \/ 

\/ ( 'table. hmov' = stop /\ 'table. hpos' = x2) A 
A x( 'table. hpos' = x2) \/ (' table . hmov' = plus /\ 
A 'table. hpos' = xO) A x (' table . hpos ' = xO \/ 
\/ 'table. hpos' = xl) \/ (' table . hmov' = plus 

30 /\ 'table. hpos' = xl) A x (' table . hpos 1 = xl \/ 

\/ 'table. hpos' = x2) \/ (' table .hmov' = plus A 
A 'table. hpos' = x2) A x (' table . hpos ' = x2) \/ 
\/ (' table .hmov' = minus /\ 'table. hpos' = xO) A 
A x (' table . hpos ' = xO) \/ (' table . hmov' = minus A 

35 A 'table. hpos' = xl) A x (' table . hpos ' = xO \/ 

\/ 'table. hpos' = xl) \/ (' table .hmov' = minus A 
A 'table. hpos' = x2) A x (' table . hpos ' = xl \/ 
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\/ 'table. hpos' = x2) ) /\ {( 1 table . vpos ' = xO A 

A 'table. hpos 1 = xO /\ 'table. vmov' = stop A 

A 'table. hmov 1 = stop A 

A 1 table . part_on_table 1 = nein A 

A x ( 1 table. part_on_table ' = ja) ) \/ 

\/ ('table. vpos 1 = x2 A 'table. hpos' = x2 /\ 

/\ ' table .vmov 1 = stop /\ 'table. hmov' = stop /\ 

/\ ' table. part__on_table' = ja /\ 

/\ x (' table .part_on_table 1 = nein)) \/ 

\/ ( 'table. part_on_table' = ja A 

A x { 1 table. part_on_table ' = ja) ) \/ 

\/ (' table .part_on_table ' = nein /\ 

A x ( 1 table. part__on_table ' = nein)))). 

In Figur 8 ist ein Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des fehlerfreien Hubdrehtischs HD im Zustands- 
raum ZR dargestellt, wie er sich nach Durchfuhrung des Model 
Checkings auf die zustandsendliche Beschreibung der fehler- 
freien Steuerung FS mit den angegebenen Assumptions ergibt. 

In den Zeilen ist jeweils ein Wertepaar fur das Tripel der 
Variablen (vpos, hpos, part_on_table) dargestellt. In den 
Spalten ist jeweils ein Wertepaar fur das Tupel der Variablen 
(vmov, hmov) mit den jeweils oben definierten Wertemengen 
dargestellt . 

Schraffiert Kreise in dem Zustandsraum ZR markieren hinsicht- 
lich der Sicherheitsbedingung „verbotene" bzw. „gef ahrliche" 
Zustande. Fett markierte Kreise in dem Zustandsraum ZR mar- 
kieren Zustande, die der Hubdrehtisch HD gemafi der oben ange- 
gebenen Beschreibung annehmen kann. Diese wurden durch das 
Model Checking ermittelt. Durch Pfeile sind Zustandsubergange 
in dem Zustandsraum ZR angedeutet. 

In Figur 9 ist der Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des Hubdrehtischs HD im Zustandsraum ZR darge- 
stellt, falls der Sensor 1 part_on_table ' f ehlerhaf terweise 



GR 97 P 1301 



16 

ein W^rkstiick WS meldet. In Figur 9 werden die gleichen Be- 
zeichnungen verwendet wie in Figur 8. Es ist deutlich zu er- 
kennen, dafi fiir diesen Fehlerfall Zustande auftreten konnen, 
die im fehlerfreien System nicht erreichbar sind. Diese Zu- 
5 stande sind in Figur 9 mit VZ bezeichnet. 

Den einzelnen Sensoren x und/oder Aktoren y werden Ausfall- 
wahrscheinlichkeiten zugeordnet, die jeweils die Wahrschein- 
lichkeit fur das Auftreten eines Fehlers bei dem Sensor x 

10 bzw. Aktor y beschreiben. Durch Verknupfung von Verbundwahr- 
scheinlichkeiten fur das Auftreten von Fehlern verschiedener 
Sensoren und/oder Aktoren und fur das Auftreten verschiedener 
Zustande kann durch diese Vorgehensweise eine sehr einfach 
Risikoabschatzung fur das technische System erfolgen. Details 

L5 zur Berechnung abhangiger Wahrscheinlichkeiten in Fehlerbaa- 
men sind in [1] zu finden. 

Somit erfolgt die Fehleranalyse unter Beriicksichtigung der 
Ausf allwahrscheinlichkeiten. 

20 

Das Verfahren wird vorzugsweise ftir alle moglichen Fehler der 
vorhandenen Sensoren und/oder Aktoren durchgef uhrt • 
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Im Rahmen dieses Dokuments wurden folgende Verof f entlichungen 
zitiert : 

[1] DIN 25424, Teil 1: Fehlerbaumanalyse : Methode und 

Bildzeichen; Teil 2: Handrechenverf ahren zur Auswertung 
eines Fehlerbaums 

[2] J. Dekleer und B. C. Williams, Diagnosing Multiple 
Faults, , Elsevier Science Publishers, Artificial 
Intelligence, Vol. 32, 1987, S. 97 -130 

[3] K. Nokel, K. Winkelmann, Controller Synthesis and Veri- 
fication: A Case Study, in: C. Leverentz, T. Lindner, 
Formal Development of Reactive Systems, Lecture Notes in 
Computer Science (Nr. 891), Springer 1995, S. 55 - 74 

[4] J. Burch et al, Symbolic Model Checking for Sequential 
Circuit Verification, IEEE Trans, on Computer-Aided 
Design of Integrated Circuits and Systems, Vol. 13, 
Nr. 4, S. 401 - 424, April 1994 

[5] R. Bryant, Symbolic Boolean Manipulation with Ordered 

Binary-Decision Diagrams, ACM Computing Survey, Vol. 24, 
Nr. 3, S. 293 - 318, September 1992 



GR 97 P 1301 



18 

Patentanspriiche 

1. Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System, welches in Form 

5 einer zustandsendlichen Beschreibung vorliegt, die Zustande 
des technischen Systems aufweist, durch einen Rechner, 
a) bei dem fur einen Fehler eines Sensors und/oder eines Ak- 
tors eine zustandsendliche Beschreibung des technischen Sy- 
stems fur den Fehlerfall ermittelt wird, 
10 b) bei dem fur das technische System eine erste Menge er- 
reichbarer Zustande ermittelt wird, 

c) bei dem fiir das f ehlerbehaf tete technische System eine 
zweite Menge erreichbarer Zustande ermittelt wird, 

d) bei dem eine Dif f erenzmenge aus der ersten Menge und der 
15 zweiten Menge gebildet wird, 

e) bei dem Ergebniszustande aus der Dif f erenzmenge ermittelt 
werden, die vorgebbaren Bedingungen geniigen. 

2. Verfahren nach Anspruch 1, 

20 bei dem die Verf ahrensschritte a) bis f) fur alle moglichen 
Fehler von Sensoren und/oder Aktoren, die das technische Sy- 
stem aufweist, durchgefuhrt werden. 

3. Verfahren nach Anspruch 1 oder 2, 

25 - bei dem den Sensoren und/oder Aktoren Ausf allwahrschein- 
lichkeiten zugeordnet werden, und 

- bei dem die Fehleranalyse unter Berucksichtigung der Aus- 
f allwahrscheinlichkeiten erfolgt. 

30 4. Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem die Verf ahrensschritte b) und c) nach dem Verfahren 
des Model Checking erfolgt. 

5. Verfahren nach einem der Anspriiche 1 bis 4, 
35 bei dem in dem Verfahren eine zustandsendliche Beschreibung 

eines von dem technischen System durchgef uhrten Prozesses be- 
rucksichtigt wird. 
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6. Verfahren nach einem der Anspruche 1 bis 5, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten realisiert wird. 

7. Verfahren nach Anspruch 6, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten in Form eines Binary Decision Diagrams (BDD) 
realisiert wird. 

8 . Verwendung des Verf ahrens nach einem der Anspriiche 1 bis 7 
beim Rapid Prototyping des technischen Systems. 

9. Verwendung des Verf ahrens nach einem der Anspriiche 1 bis 7 
im Rahmen der Fehlerdiagnose des technischen Systems. 

10. Verwendung des Verf ahrens nach einem der Anspruche 1 bis 

7 zur Generierung kritischer Pruffalle fur eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

11. Verwendung des Verfahrens nach einem der Anspruche 1 bis 
7 zur praventiven Wartung des technischen Systems. 
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Zusammenf as sung 

Verfahreri zur rechnergestiitzten Fehleranalyse von Sensoren 
und/ocier Aktoren in einem technischen System 

5 

Es wird ein Verfahren vorgeschlagen, bei dem fur einen Fehler 
eines Sensors und/oder eines Aktors eine zustandsendliche Be- 
schreibung des technischen Systems fur den Fehlerfall und ei- 
ne zustandsendliche Beschreibung des technischen Systems fur 

L0 den fehlerfreien Fall ermittelt wird. Fur beide Beschreibun- 
gen werden jeweils die erreichbaren Zustande vorzugsweise 
mittels Model Checking ermittelt. Es wird eine Dif f erenzmenge 
von Zustanden der beiden Beschreibungen gebildet, fiir deren 
Zustande uberpriift wird, ob diese Zustande vorgebbaren Bedin- 

L5 gungen genugen (z.B. Sicherheitsbedingungen) . 
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